Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 26/7/2016
Webserverprogrammer, der kører som CGI-programmer, kan have sårbarheden Httpoxy. Den gør det muligt at udføre man-in-the-middle-angreb på serverprogrammerne.Sårbarheden består i en navnekonflikt. Mange webservere bruger miljøvariablen HTTP_PROXY til at konfigurere, hvilken udgående proxyserver serveren skal benytte.
Men nogle CGI-programmer lagrer værdien fra HTTP-headeren Proxy i samme miljøvariabel. Dermed kan en angriber bestemme, hvilken proxyserver en webservers programmer skal anvende.
Sårbarheden findes kun i CGI-miljøer. Derfor kan en række PHP-systemer være berørt. Python-programmer kan også være ramt, men som regel kører de ikke i en sårbar CGI-opsætning. Også scripts og Go-programmer kan være sårbare.
Web-administratorer kan beskytte deres systemer mod sårbarheden ved at blokere for headeren Proxy.
Httpoxy blev første gang opdaget i marts 2001, hvor den blev fjernet fra Perl.
Anbefaling
Administratorer af systemer, der anvender CGI, bør undersøge, om de er sårbare.
Links
- Httpoxy, a CGI application vulnerability for PHP, Go, Python and others
- Advisory: Apache Software Foundation Projects and "httpoxy"
- IIS CGI HTTP_PROXY header requests may be redirected
- VU#797896: CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables